Campaña de phishing suplanta a organismos ucranianos para desplegar CountLoader, Amatera Stealer y PureMiner

Introducción

Recientemente, investigadores de Fortinet FortiGuard Labs han detectado una nueva campaña de phishing que utiliza la suplantación de organismos gubernamentales ucranianos como vector de ataque inicial. El objetivo principal de esta campaña es la distribución de CountLoader, un loader versátil empleado para desplegar payloads adicionales como Amatera Stealer y PureMiner. Esta actividad maliciosa, que aprovecha archivos SVG manipulados, evidencia una evolución tanto en las técnicas de ingeniería social como en la cadena de infección, suponiendo un riesgo relevante para organizaciones y sistemas a nivel internacional.

Contexto del Incidente

La campaña, activa desde mayo de 2024, ha sido identificada simultáneamente por varios equipos de inteligencia de amenazas, destacando por su foco en objetivos de habla ucraniana y europea, y por el empleo de señuelos creíbles que emulan comunicaciones oficiales de entidades estatales. Los atacantes buscan explotar la confianza en documentos gubernamentales para incrementar la tasa de apertura de los correos y la ejecución de los archivos adjuntos.

Las primeras evidencias apuntan a actores motivados económicamente, con capacidad para adaptar rápidamente sus TTPs (Tactics, Techniques, and Procedures), y con un claro conocimiento del contexto geopolítico. Esta campaña coincide con un repunte en la explotación de la guerra híbrida digital en el conflicto ruso-ucraniano, donde el phishing sigue siendo uno de los principales vectores de intrusión.

Detalles Técnicos

El ataque se inicia con un correo electrónico de phishing que simula provenir de agencias gubernamentales ucranianas. El mensaje contiene un archivo adjunto en formato SVG (Scalable Vector Graphics), aparentemente inofensivo, pero que en realidad integra código JavaScript malicioso. Al abrir el archivo, el usuario desencadena la descarga y ejecución de CountLoader, un loader modular que permite a los atacantes desplegar payloads adicionales de forma dinámica.

CountLoader actúa como intermediario para la descarga de dos familias de malware:

1. **Amatera Stealer:** Un infostealer especializado en la exfiltración de credenciales, cookies de navegador, billeteras de criptomonedas y otros datos sensibles. Utiliza técnicas de evasión como empaquetado personalizado y comunicación cifrada con C2.
2. **PureMiner:** Un cryptominer basado en XMRig, orientado a la minería ilícita de Monero (XMR) en los sistemas comprometidos, consumiendo recursos y generando ingresos directos para los operadores.

El análisis de la campaña revela la utilización de técnicas MITRE ATT&CK como:

– Spearphishing Attachment (T1566.001)
– User Execution (T1204.002)
– Command and Scripting Interpreter: JavaScript (T1059.007)
– Exfiltration Over C2 Channel (T1041)
– Resource Hijacking (T1496)

Los indicadores de compromiso (IoC) incluyen hashes de los archivos SVG, dominios de C2 asociados a CountLoader y direcciones IP utilizadas para el despliegue de payloads. Hasta el momento, no se han detectado exploits públicos en frameworks como Metasploit, pero la modularidad del loader sugiere que podría ser integrado en cadenas de ataque más complejas.

Impacto y Riesgos

La campaña afecta principalmente a sistemas Windows 10 y 11, aunque la arquitectura modular de CountLoader podría adaptarse a otros entornos. Según estimaciones de Fortinet y otras fuentes, ya se han detectado más de 250 organizaciones afectadas en Europa del Este, con un 12% de infecciones exitosas en el sector público.

Los riesgos principales incluyen:

– Robo de credenciales y datos corporativos.
– Compromiso de carteras de criptomonedas y banca online.
– Degradación del rendimiento de sistemas por minería ilícita.
– Pérdida de productividad y posibles sanciones regulatorias (GDPR, NIS2).

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de esta campaña, se recomienda:

– Bloquear la recepción y apertura de archivos SVG en correos electrónicos, especialmente de remitentes no verificados.
– Actualizar soluciones antimalware y EDR con las últimas firmas para detectar CountLoader, Amatera Stealer y PureMiner.
– Monitorizar tráfico de red para identificar comunicaciones anómalas hacia dominios e IPs de C2.
– Implementar políticas de seguridad que restrinjan la ejecución de scripts y macros en documentos adjuntos.
– Sensibilizar a los usuarios sobre la suplantación de organismos oficiales y técnicas actuales de phishing.
– Revisar y reforzar controles de acceso y autenticación multifactor.

Opinión de Expertos

Yurren Wan, investigador de FortiGuard Labs, subraya: “La utilización de archivos SVG maliciosos representa una evolución en las técnicas de phishing. Es crucial que las organizaciones actualicen sus filtros de correo y eduquen a los usuarios sobre estos nuevos vectores.”

Desde el sector, analistas SOC y consultores de ciberseguridad coinciden en la urgencia de aplicar controles de segmentación de red y respuestas automáticas ante detecciones de actividad anómala, dadas las capacidades de persistencia y movimiento lateral asociadas a los payloads desplegados.

Implicaciones para Empresas y Usuarios

El aumento de campañas dirigidas a entidades gubernamentales y empresas críticas recalca la importancia de la ciberhigiene y la actualización constante de políticas de seguridad. Además, la presencia de cryptominers como PureMiner pone de relieve el impacto económico directo y oculto, desde el aumento de costes operativos hasta la exposición a sanciones por incumplimiento de GDPR o NIS2.

Conclusiones

La campaña de phishing identificada demuestra la sofisticación creciente de los atacantes y la necesidad de una defensa en profundidad. La combinación de ingeniería social, loaders modulares y payloads orientados al robo de datos y monetización ilícita exige una respuesta coordinada a nivel técnico, organizativo y legal.

(Fuente: feeds.feedburner.com)